Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=74)
-   -   Xss в Bonic(популярный двиг) (https://forum.antichat.xyz/showthread.php?t=36346)

BlackCats 25.03.2007 19:18
Xss в Bonic(популярный двиг)
 
итак, моя первая уязвимость в действительно популярном скрите.

итак, на этот раз это XSS присутствует в
Berkeley Open Infrastructure for Network Computing - версию определить неудалось, предполагается что во всех ныне используемых.

http://boinc.berkeley.edu/ - сайт разработчика

Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Уязвимость существует из-за недостаточной обработки входных данных в параметре 'id' в сценарии forum_forum.php.Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценарий в браузере жертвы.

пример:

Код:
http://www.malariacontrol.net/forum_forum.php?id=3"><script>alert(99)</script>
т.е. мы подставляем сразу после id=**свой скрипт и всё

также вы сами можете найти мноджество сайтов с такой уязвимостью вбив в гугле BONIC

InferNo23 25.03.2007 19:22
Код:
Уязвимость существует из-за недостаточной обработки данных в адресной строке.
no comments....

BlackCats 25.03.2007 19:25
:))) ну а как надо было?

InferNo23 25.03.2007 19:30
Код:
Уязвимость существует из-за недостаточной обработки входных данных в параметре 'id' в сценарии forum_forum.php
например

BlackCats 25.03.2007 19:34
спасибо :) обновил.

Utochka 25.03.2007 19:46
дык она же не активная даже =/

BlackCats 25.03.2007 22:57
Цитата:
Сообщение от Utochka
дык она же не активная даже =/
ну какая есть :) была бы активная думаю в паблик бы не выкладывал.

Rebz 25.03.2007 23:46
\6/, сразу видно - ты хакер. такие крутые Xss находишь! Что просто вах!

только вопрос - кому они такие нужны.. ? жаль что ты вряд ли на этот вопрос ответишь.

BlackCats 26.03.2007 00:01
Цитата:
Сообщение от Rebz
\6/, сразу видно - ты хакер. такие крутые Xss находишь! Что просто вах!

только вопрос - кому они такие нужны.. ? жаль что ты вряд ли на этот вопрос ответишь.
хм, как тебе ответить, сразу видно что это типа наезд :)
знаеш.. я тебе так отвечу:
я постю эти ххс для того, чтобы:
1-если возникнет вопрос "а какие есть баги в этом движке, ато на секлабе ничего не нашёл" могли зайти в эти темы
2-для того чтобы люди видели что я активе, и в следующий раз я не получил отказа в принятии в МОА.

r0 26.03.2007 00:34
Чего только человек не сделает, что отдать свою жизнь кому-то.. или скорее чему-то.. Натянутые на ж0 старания...

BlackCats 26.03.2007 01:06
Цитата:
Сообщение от r0
Чего только человек не сделает, что отдать свою жизнь кому-то.. или скорее чему-то.. Натянутые на ж0 старания...
непонял.. понял тока то что ты сказал что-тто плохое :(

Spyder 26.03.2007 01:12
Он сказал что ты из жопы лезешь чтобы тебя взяли в МОА )

BlackCats 26.03.2007 14:08
Цитата:
Сообщение от Spyder
Он сказал что ты из жопы лезешь чтобы тебя взяли в МОА )
а он что-то имеет против? :)

Ksander 26.03.2007 14:24
Цитата:
Сообщение от \6/
1-если возникнет вопрос "а какие есть баги в этом движке, ато на секлабе ничего не нашёл" могли зайти в эти темы
О да, такую сложнейшую и запутаную xss ооочень сложно найти.



p.s.лови еще одну
Код:
http://www.malariacontrol.net/forum_thread.php?id=425"><script>alert(/heek!/)</script>
И еще.
В поле email.
Код:
http://www.malariacontrol.net/login_action.php
И еще одну

Код:
http://www.malariacontrol.net/forum_subscribe.php?action=subscribe&thread=425"><script>alert()</script>
Нашел 1 паршивую xss и уже выпрыгиваеш из штанов.

BlackCats 26.03.2007 17:31
я непонимаю, какого вы все наезжаете?????? ненравица - пройдите мимо!

Ksander 26.03.2007 17:34
Цитата:
Сообщение от \6/
я непонимаю, какого вы все наезжаете?????? ненравица - пройдите мимо!
Если чтото делаеш, то делай до конца, и без этого пафоса - Йа ЙА ЙА!!!

BlackCats 26.03.2007 17:40
Цитата:
Сообщение от Ksander
Если чтото делаеш, то делай до конца, и без этого пафоса - Йа ЙА ЙА!!!
а что я дедаю? я нашёл уязвимость, выложил, не для того чтобы показать какой я мега хакенр, а для того чтобы другие знаю что она там есть. что-то ненравица - МИМО!

zl0ba 26.03.2007 17:44
Икокого вы здесь оффтоп развели, хекеры =(
Ksander и \6/ - один хрен вы кидисы =)
Погоня за репой хххмм. Смешно.
Сори... Не сдержался =\

Ksander 26.03.2007 17:45
Цитата:
Сообщение от \6/
я нашёл уязвимость, выложил, не для того чтобы показать какой я мега хакенр, а для того чтобы другие знаю что она там есть. что-то ненравица - МИМО!
Еще это забыл
Цитата:
2-для того чтобы люди видели что я активе, и в следующий раз я не получил отказа в принятии в МОА.
Помойму это опровергает твои же слова
Цитата:
не для того чтобы показать какой я мега хакенр

1M}{0

BlackCats 26.03.2007 17:52
Цитата:
Сообщение от Ksander
Еще это забыл


Помойму это опровергает твои же слова



1M}{0
ты путаеш понятия "активный на форуме человек" и "мега хакер"

PS
всё, игнор больше небуду тебе отвечать.

Constantine 26.03.2007 18:03
2\6/ Имхо нагугленные Xssки можно и в существующую тему выкладывать=\. В той что ты представил нет ничего особенного.

Koller 26.03.2007 19:26
И что вы тут развели?...
Повторюсь в сотый раз, для Xss есть 2 отдельные темы!
Закрыто, оффтопы потерты...


Время: 02:58